在一般防火墙下,都是采用DMZ区内放服务器,外部访问DMZ区得到外部的IP,内部访问DMZ区时得到内部的IP。如一个,内部IP地址<--->放在DMZ的web服务器的IP<----->外部IP地址192.168.1.1<--->192.168.0.1<----->211.202.49.1从DNS上可以从以下四个方面解决:一.iptables应用1.核心思想配置动态DNS服务器的核心思想是:在DNS服务器上运行多个BIND,每个BIND为来自不同区域的用户提供解析,因此每个BIND都应具有不同的配置文件和域文件,并且分别监听在不同的端口。在接到客户端DNS请求时,根据客户的ip地址将请求重定向不同的BIND服务端口。BIND响应时,再改写相应包的服务端口为标准的53端口。这样就可以根据客户端的ip地址将不同的解析结果返回给客户端。整个过程对于客户端来说都是透明的。实现的关键在于运行不同的BIND及运用iptables进行ip地址及端口改写操作。2配置过程步骤1:配置内核netfilter要求内核版本不低于2.3.5,在编译新内核时,要求选择和netfilter相关的项目。这些项目通常都是位于"Networkingoptions"子项下。以2.4.0内核为例,我们应该选中的项目有:Kernel/Usernetlinksocket[]Routingmessages<*>NetlinkdeviceemulationNetworkpacketfiltering(replacesipchains).......然后,在"IP:NetfilterConfiguration---->"选中:Connectiontracking(requiredformasq/NAT)FTPprotocolsupportIPtablessupport(requiredforfiltering/masq/NAT)limitmatchsupportMACaddressmatchsupportNetfilterMARKmatchsupportMultipleportmatchsupportTOSmatchsupportConnectionstatematchsupportPacketfilteringREJECTtargetsupportFullNATMASQUERADEtargetsupportREDIRECTtargetsupportPacketmanglingTOStargetsupportMARKtargetsupportLOGtargetsupportipchains(2.2-style)supportipfwadm(2.0-style)support其中最后两个项目可以不选,但是如果你比较怀念ipchains或者ipfwadm,你也可以将其选中,以便在2.4内核中使用ipchians或ipfwadm。但是需要注意的是,iptables是和ipchians/ipfwadm相对立的,在使用iptables的同时就不能同时使用ipchains/ipfwadm。编译成功后,这些模块文件都位于以下目录中/lib/modules/2.4.0/kernel/net/ipv4/netfilter编译2.4.0的新内核时还应该注意要在"Processortypeandfeatures"中选择和你的CPU相对应的正确的CPU选项,否则新内核可能无法正常工作。步骤二、配置BIND服务缺省地,BIND服务监听在53端口,我们可以通过配置让BIND运行在不同的ip及端口上。实现这一点并不复杂,假设我们的DNS服务器的ip地址是211.163.76.1,并且我们想区分CERNET及非CERNET的客户,这时我们必须运行两个BIND,使用不同的配置文件。可以在使用非标准监听端口的BIND的配置文件中用listen-on指定BIND监听的端口,比如:options{listen-onport54{211.163.76.1;}directory"/var/named_cernet";};可以用named的-c选项指定named读入不同的配置文件,比如:/usr/sbin/named-unamed-c/etc/named_cernet.conf3、配置重定向规则假设监听在标准端口的BIND服务器为非CERNET客户提供DNS解析,监听在54端口的BIND服务器为CERNET服务器提供DNS解析,我们可以建立如下的规则脚本:#!/bin/bash#打开端口转发echo1>/proc/sys/net/ipv4/ip_forward#加载相关的内核模块/sbin/modprobeiptable_filter/sbin/modprobeip_tables/sbin/modprobeiptables_nat#刷新所有规则/sbin/iptables-tnat-F#加入来自CERNET的DNS请求转发规则,将其转发到本地54端口,CERNET地址列表可从www.nic.edu.cn/RS/ipstat/获得/sbin/iptables-tnat-APREROUTING-pudp-s163.105.0.0/16--dport53-ieth0-jREDIRECT54/sbin/iptables-tnat-APREROUTING-ptcp-s163.105.0.0/16--dport53-ieth0-jREDIRECT54/sbin/iptables-tnat-APREROUTING-pudp-s166.111.0.0/16--dport53-ieth0-jREDIRECT54/sbin/iptables-tnat-APREROUTING-ptcp-s166.111.0.0/16--dport53-ieth0-jREDIRECT54/sbin/iptables-tnat-APREROUTING-pudp-s202.4.128.0/19--dport53-ieth0-jREDIRECT54/sbin/iptables-tnat-APREROUTING-ptcp-s202.4...
